Contenido de los detalles de la actividad (usuarios, funciones, cuentas, sesiones de funciones, EC2 instancias, segmentos de S3)Contenido de los detalles de actividad (direcciones IP)Ordenar los detalles de actividad Filtrar los detalles de actividad Selección del intervalo de tiempo para los detalles de actividad Consulta de registros sin procesar

Detalles de la actividad del volumen total de API llamadas

Los detalles de la actividad del volumen total de API llamadas muestran las API llamadas que se emitieron durante un intervalo de tiempo seleccionado.

Para ver los detalles de un único intervalo de tiempo, elija el intervalo de tiempo en el gráfico.

Para ver los detalles de actividad del rango temporal actual, elija Mostrar detalles del rango temporal.

Tenga en cuenta que Detective comenzó a almacenar y mostrar el nombre del servicio para API las llamadas el 14 de julio de 2021. Esa fecha aparece resaltada en el cronograma del panel de perfil. En el caso de las actividades que se produzcan antes de esa fecha, el nombre del servicio es Servicio desconocido.

Contenido de los detalles de la actividad (usuarios, funciones, cuentas, sesiones de funciones, EC2 instancias, segmentos de S3)

Para IAM los usuarios, los IAM roles, las cuentas, las sesiones de roles, EC2 las instancias y los buckets de S3, los detalles de la actividad contienen la siguiente información:

Cada pestaña proporciona información sobre el conjunto de API llamadas que se emitieron durante el intervalo de tiempo seleccionado.

En el caso de los buckets S3, la información refleja API las llamadas que se realizaron al bucket S3.

Las API llamadas se agrupan según los servicios que las llamaron. En el caso de los buckets de S3, el servicio es siempre Amazon S3. Si Detective no puede determinar el servicio que emitió la llamada, la llamada aparece como Servicio desconocido.
Para cada entrada, los detalles de actividad muestran el número de llamadas correctas y fallidas. La pestaña Direcciones IP observadas también muestra la ubicación de cada dirección IP.
Cada entrada muestra información sobre quién realizó las llamadas. En el caso de las cuentas, los detalles de actividad identifican a los usuarios o roles. En el caso de los roles, los detalles de actividad identifican las sesiones de los roles. En el caso de los usuarios y las sesiones de roles, los detalles de la actividad identifican los identificadores de las claves de acceso (AKIDs).

Tenga en cuenta que, a partir del 14 de julio de 2021, en el caso de los perfiles de las cuentas, los detalles de la actividad muestran los usuarios o los roles en lugar deAKIDs. En el caso de los perfiles de rol, los detalles de la actividad muestran las sesiones de rol en lugar deAKIDs. En el caso de la actividad que se produjo antes del 14 de julio de 2021, el llamante aparece como Recurso desconocido.

Los detalles de actividad contienen las siguientes pestañas:

Direcciones IP observadas

Muestra inicialmente la lista de direcciones IP utilizadas para emitir API llamadas.

Puede ampliar cada dirección IP para mostrar la lista de API llamadas que se emitieron desde esa dirección IP. Las API llamadas se agrupan por los servicios que las llamaron. En el caso de los buckets de S3, el servicio es siempre Amazon S3. Si Detective no puede determinar el servicio que emitió la llamada, la llamada aparece como Servicio desconocido.

A continuación, puede ampliar cada API llamada para mostrar la lista de personas que llaman desde esa dirección IP. Según el perfil, la persona que llama puede ser un usuario, un rol, una sesión de rol o. AKID

Vista de la pestaña Direcciones IP observadas del panel de volumen general de API llamadas, con una entrada ampliada para mostrar la jerarquía de direcciones IP, API llamadas yAKIDs. APIlas llamadas se agrupan por servicio.

APImétodo por servicio

Muestra inicialmente la lista de API llamadas emitidas. Las API llamadas se agrupan por los servicios que las emitieron. En el caso de los buckets de S3, el servicio es siempre Amazon S3. Si Detective no puede determinar el servicio que emitió la llamada, la llamada aparece como Servicio desconocido.

Puede ampliar cada API método para mostrar la lista de direcciones IP desde las que se emitieron las llamadas.

A continuación, puede expandir cada dirección IP para mostrar la lista de las AKIDs API llamadas emitidas desde esa dirección IP.

Vista de la pestaña APIMétodo por servicio del panel de volumen general de API llamadas, con una entrada expandida para mostrar la jerarquía de API llamadas, direcciones IP y AKIDs APIlas llamadas se agrupan por servicio.

ID de recurso o clave de acceso

Muestra inicialmente la lista de usuarios, roles, sesiones de rol o AKIDs que se utilizaron para realizar API llamadas.

Puede ampliar cada persona que llama para mostrar la lista de direcciones IP desde las que la persona que llama ha realizado llamadas. API

A continuación, puede ampliar cada dirección IP para mostrar la lista de API llamadas emitidas desde esa dirección IP por la persona que llamó. Las API llamadas se agrupan por los servicios que las emitieron. En el caso de los buckets de S3, el servicio es siempre Amazon S3. Si Detective no puede determinar el servicio que emitió la llamada, la llamada aparece como Servicio desconocido.

Vista de la pestaña Recursos del panel de volumen general de API llamadas, con una entrada ampliada para mostrar la jerarquía de AKIDs direcciones IP y API llamadas agrupadas por servicio.

Contenido de los detalles de actividad (direcciones IP)

En el caso de las direcciones IP, los detalles de actividad contienen la siguiente información:

Cada pestaña proporciona información sobre el conjunto de API llamadas que se emitieron durante el intervalo de tiempo seleccionado. Las API llamadas se agrupan según los servicios que las emitieron. Si Detective no puede determinar el servicio que emitió la llamada, la llamada aparece como Servicio desconocido.
Para cada entrada, los detalles de actividad muestran el número de llamadas correctas y fallidas.

Los detalles de actividad contienen las siguientes pestañas:

Recurso

Muestra inicialmente la lista de recursos que emitieron API llamadas desde la dirección IP.

Para cada recurso, la lista incluye el nombre del recurso, el tipo y la AWS cuenta.

Puede ampliar cada recurso para mostrar la lista de API llamadas que el recurso emitió desde la dirección IP. Las API llamadas se agrupan por los servicios que las emitieron. Si Detective no puede determinar el servicio que emitió la llamada, la llamada aparece como Servicio desconocido.

Consulta la pestaña Recursos con los detalles de la actividad en el panel de perfil del volumen general de API llamadas de una dirección IP.

APImétodo por servicio

Muestra inicialmente la lista de API llamadas emitidas. Las API llamadas se agrupan por los servicios que las emitieron. Si Detective no puede determinar el servicio que emitió la llamada, la llamada aparece como Servicio desconocido.

Puede ampliar cada API llamada para mostrar la lista de recursos que emitieron la API llamada desde la dirección IP durante el período de tiempo seleccionado.

Consulta la pestaña APIMétodo por servicio de los detalles de la actividad del panel de perfil del volumen total de API llamadas de una dirección IP.

Ordenar los detalles de actividad

Puede ordenar los detalles de actividad por cualquiera de las columnas de la lista.

Al ordenar utilizando la primera columna, solo se ordena la lista de nivel superior. Las listas de nivel inferior siempre se ordenan según el número de API llamadas realizadas correctamente.

Filtrar los detalles de actividad

Puede utilizar las opciones de filtrado para centrarse en subconjuntos o aspectos específicos de la actividad representados en los detalles de actividad.

En todas las pestañas, puede filtrar la lista por cualquiera de los valores de la primera columna.

Para añadir un filtro

Elija el cuadro de filtros.
En Propiedades, elija la propiedad que desee utilizar para el filtrado.
Proporcione el valor que se va a utilizar para el filtrado. El filtro admite valores parciales. Por ejemplo, si filtra por API método, si filtra porInstance, los resultados incluyen cualquier API operación que tenga Instance su nombre. Por lo tanto, ambos ListInstanceAssociations y UpdateInstanceInformation coincidirían.

Para los nombres, API métodos y direcciones IP de los servicios, puede especificar un valor o elegir un filtro integrado.

En APISubcadenas comunes, elija la subcadena que represente el tipo de operación, como ListCreate, o. Delete APIEl nombre de cada método comienza por el tipo de operación.

En el caso de CIDRlos patrones, puede optar por incluir solo direcciones IP públicas, direcciones IP privadas o direcciones IP que coincidan con un CIDR patrón específico.
Si tiene varios filtros, elija una opción booleana para establecer cómo se conectan esos filtros.
Para eliminar un filtro, elija el icono x de la parte superior derecha.
Para borrar los filtros seleccionados, elija Borrar filtros.

Selección del intervalo de tiempo para los detalles de actividad

Cuando se muestran los detalles de actividad por primera vez, el intervalo de tiempo es el rango temporal o un intervalo de tiempo seleccionado. Puede cambiar el intervalo de tiempo de los detalles de actividad.

Para cambiar el intervalo de tiempo de los detalles de actividad

Elija Editar.
En Editar franja horaria, elija las horas de inicio y de finalización que desea usar.

Para configurar la franja horaria con el rango temporal predeterminado del perfil, elija Establecer el rango temporal predeterminado.
Elija Actualizar periodo.

El intervalo de tiempo para los detalles de actividad aparece resaltado en los gráficos del panel de perfil.

Periodo de tiempo resaltado para el panel del perfil del volumen general de API llamadas

Consulta de registros sin procesar

Amazon Detective se integra con Amazon Security Lake, lo que permite consultar y recuperar datos de registros sin procesar almacenados por Security Lake. Para obtener más información sobre esta integración, consulte Integración de Amazon Detective con Amazon Security Lake.

Con esta integración puede recopilar y consultar registros y eventos de los siguientes orígenes que Security Lake admite de forma nativa.

AWS CloudTrail eventos de gestión de la versión 1.0 y posteriores
Amazon Virtual Private Cloud (AmazonVPC) Flow Logs versión 1.0 y versiones posteriores
Registro de auditoría de Amazon Elastic Kubernetes Service (EKSAmazon) versión 2.0

nota

No hay recargos adicionales por consultar registros de datos sin procesar en Detective. Los cargos por uso de otros AWS servicios, incluido Amazon Athena, se seguirán aplicando a las tarifas publicadas.

Para consultar registros sin procesar

Elija Mostrar los detalles del rango de tiempo.
Desde aquí puede empezar a Consultar registros sin procesar.
En la tabla Vista previa del registro sin procesar puede ver los registros y los eventos recuperados consultando datos de Security Lake. Para obtener más información sobre los registros de eventos sin procesar, puede ver los datos que se muestran en Amazon Athena.

En la tabla Registros de consulta sin procesar, puede Cancelar solicitud de consulta, Ver resultados en Amazon Athena y Descargar resultados como archivo de valores separados por comas (.csv).

Si ve registros en Detective, pero la consulta no devuelve resultados, podría deberse a los siguientes motivos.

Es posible que los registros sin procesar pasen a estar disponibles en Detective antes de mostrarse en tablas de registros de Security Lake. Inténtelo de nuevo más tarde.
Es posible que falten registros en Security Lake. Si esperó durante un período prolongado, significa que faltan registros en Security Lake. Póngase en contacto con el administrador de Security Lake para solucionar el problema.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Explorar detalles de actividad

Geolocalización